logo
❮     Wróć

UMOWA POWIERZENIA PRZETWARZANIA DANYCH

  1. POSTANOWIENIA OGÓLNE
    1. Niniejszy dokument dotyczący powierzenia przetwarzania danych ("DPA"), wraz z naszym Regulaminem świadczenia usług ("Regulamin" lub "ToS"), Polityką Ochrony Danych Osobowych i wszelkimi dodatkowymi załącznikami ("Załączniki dodatkowe"), stanowią umowę ("Umowę") zawartą przez i pomiędzy XOPERO SOFTWARE S.A. z siedzibą w Gorzowie Wielkopolskim, Polska, adres: ul. Franciszka Walczaka 3, 66-400 Gorzów Wielkopolski, Polska (zwanym "XOPERO", "my" lub "nas", "Spółka" lub „Przetwarzający”) a każdą osobą lub podmiotem będącym Klientem (zwanym "Klientem", "Tobą" lub „Administratorem”) łącznie "stronami", indywidualnie "stroną".
    2. Niniejsze DPA jest uzupełnieniem i stanowi integralną część Regulaminu świadczenia usług i/lub innej szczególnej umowy generalnej związanej ze współpracą między Stronami, - rozumianych jako "Umowa Główna".
    3. Na potrzeby niniejszego DPA, Klient może pełnić rolę Administratora lub Przetwarzającego, a XOPERO pełni rolę Przetwarzającego lub Podprzetwarzającego, w zależności od sytuacji.
    4. POTWIERDZASZ I ZGADZASZ SIĘ, ŻE: (I) PRZECZYTAŁEŚ, ZROZUMIAŁEŚ I ZAAKCEPTOWAŁEŚ NINIEJSZE DPA, (II) NINIEJSZYM OŚWIADCZASZ I GWARANTUJESZ, ŻE JESTEŚ UPOWAŻNIONY DO ZAWARCIA NINIEJSZEGO DPA, (III) JEŻELI JESTEŚ PRZEDSTAWICIELEM LUB PRACOWNIKIEM PODMIOTU, OŚWIADCZASZ I GWARANTUJESZ, ŻE (IV) OSOBA FIZYCZNA AKCEPTUJĄCA NINIEJSZE DPA JEST NALEŻYCIE UPOWAŻNIONA DO ZAWARCIA NINIEJSZEGO DPA W IMIENIU TAKIEGO PODMIOTU ORAZ (V) TAKI PODMIOT MA PEŁNE UPRAWNIENIA, KORPORACYJNE LUB INNE, DO ZAWARCIA NINIEJSZEGO DPA I WYKONANIA SWOICH ZOBOWIĄZAŃ Z NIEGO WYNIKAJĄCYCH.
    5. Niniejsze DPA obowiązuje w dniu zawarcia Umowy Głównej ("Data wejścia w życie").
  2. PRZEDMIOT UMOWY
    1. Strony zawierają niniejsze DPA, na mocy którego, Administrator powierza Przetwarzającemu przetwarzanie wszelkich danych osobowych. Powierzenie danych osobowych Przetwarzającemu następuje w celu wykonania Umowy Głównej.
    2. Przetwarzający może przetwarzać podane dane wyłącznie w zakresie i celu określonym w Umowie Głównej oraz w celu i zakresie niezbędnym do świadczenia usług określonych w Umowie Głównej.
    3. Przetwarzający nie będzie przechowywał, wykorzystywał, sprzedawał ani ujawniał Danych Osobowych Klienta w jakimkolwiek innym celu niż określony cel udostępnienia Oprogramowania i/lub Usług na podstawie Umowy Głównej oraz wszelkich instrukcji przekazanych przez Klienta.
    4. Kategorie podmiotów danych, których dane osobowe są przekazywane - Klient może przekazywać Dane Osobowe w trakcie korzystania z Usług i/lub Oprogramowania, których zakres określa i kontroluje Klient według własnego uznania, co może obejmować, ale nie jest ograniczone do Danych Osobowych dotyczących następujących kategorii Podmiotów danych:
      1. Użytkownicy końcowi Klienta, w tym klienci, pracownicy i wykonawcy Klienta.
    5. Kategorie przekazywanych danych osobowych - Klient może przekazywać lub upoważniać inne osoby trzecie do przekazywania Danych Osobowych do Oprogramowania i/lub Usług XOPERO, których zakres jest określany i kontrolowany przez Klienta według jego wyłącznego uznania, i które mogą obejmować, ale nie są ograniczone do następujących kategorii Danych Osobowych:
      1. Imię, nazwisko, numer telefonu, adres e-mail, adres wysyłkowy i rozliczeniowy klientów, informacje o zamówieniach klientów, historia zakupów, zakupione produkty, kredyt sklepowy (kupiecki), oznaczenia i notatki;
      2. Imię i nazwisko pracowników Klienta, szczegóły dotyczące zatrudnienia, takie jak stanowisko;
      3. tytuł, numer telefonu, adres służbowy i adres e-mail;
      4. wszelkie inne Dane Osobowe złożone przez, wysłane do, lub otrzymane przez Klienta i/lub jego użytkowników końcowych.
    6. Strony nie przewidują przekazywania danych wrażliwych.
    7. Częstotliwość przekazywania danych (np. czy dane są przekazywane jednorazowo czy w sposób ciągły) jest zależna od korzystania z Oprogramowania i/lub Usług przez Klienta w ramach Umowy Głównej.
    8. Charakter przetwarzania - Dane Osobowe będą przetwarzane zgodnie z Umową Główną (w tym niniejszym DPA) i mogą być przedmiotem następujących czynności Przetwarzania:
      1. Tworzenie kopii treści Klienta w celu przechowywania i tworzenia kopii zapasowych;
      2. umożliwienie Klientowi przywrócenia takich kopii takich treści Klienta według uznania Klienta;
      3. jako niezbędne do zapewnienia dostępu do Usług i/lub Oprogramowania XOPERO oraz zgodnie z Umową Główną, a także w inny sposób zgodnie z instrukcjami Klienta; oraz
      4. ujawnienia zgodnie z Umową Główną (w tym niniejszym DPA) i/lub zgodnie z przymusem wynikającym z obowiązujących przepisów prawa.
    9. Cel(e) przekazania danych i dalszego przetwarzania - XOPERO będzie przetwarzać Dane Osobowe w zakresie niezbędnym do zapewnienia dostępu do Oprogramowania i/lub Usług zgodnie z Umową Główną oraz zgodnie z dalszymi instrukcjami Klienta w zakresie korzystania przez niego z Oprogramowania i/lub Usług.
    10. Okres, przez który dane osobowe będą przechowywane - XOPERO będzie przetwarzać Dane Osobowe zgodnie z czasem trwania określonym w Umowie Głównej, chyba że indywidualnie uzgodniono inaczej; Podprzetwarzający będą przetwarzać Dane Osobowe w zakresie niezbędnym do zapewnienia dostępu do Oprogramowania i/lub Usług zgodnie z Umową Główną oraz zgodnie z dalszymi instrukcjami Klienta.
  3. DEKLARACJE I ZOBOWIĄZANIA
    1. Przetwarzający oświadcza, że posiada infrastrukturę, zasoby, doświadczenie, wiedzę i dobrze wykwalifikowany personel zdolny do wykonywania swoich obowiązków zgodnie z obowiązującymi przepisami prawa. W szczególności Przetwarzający oświadcza, że znane są mu zasady przetwarzania i ochrony danych osobowych wynikające z rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 679/2016 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych zwane dalej "RODO").
    2. Każda ze stron będzie przestrzegać obowiązujących przepisów o ochronie danych osobowych, w szczególności RODO.
    3. Przetwarzający zobowiązany jest:
      1. przetwarzać podane dane osobowe wyłącznie na mocy Umowy Głównej i niniejszego DPA z wyjątkiem sytuacji, gdy jest do tego zobowiązany przepisami prawa; w przypadku, gdy przetwarzanie danych osobowych przez Przetwarzającego wynika z przepisów prawa, informuje on Administratora drogą elektryczną - przed rozpoczęciem przetwarzania - o tym przymusie prawa, jeżeli prawo zezwala na udzielenie takiej informacji ze względu na interes publiczny;
      2. przetwarzać podane dane osobowe zgodnie z RODO i niniejszym DPA;
      3. wprowadzać odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający ryzyku, jakie stanowi naruszenie praw lub wolności osób fizycznych, których dane osobowe będą przetwarzane;
      4. wspierać Administratora w realizacji obowiązku odpowiedzi na żądanie osoby, której dane dotyczą, w zakresie korzystania przez nią z prawa ustanowionego w RODO, rozdział 3. Współpraca Przetwarzającego z Administratorem w zakresie, o którym mowa powyżej, odbywa się w formie i czasie dogodnym dla Administratora, umożliwiając mu jednocześnie wykonywanie swoich obowiązków;
      5. pomagać Administratorowi, w zakresie:
        • zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych;
        • zgłaszania organowi nadzorczemu wszelkich naruszeń ochrony danych osobowych oraz informowania o tych naruszeniach osób, których dane dotyczą.
  4. ŚRODKI TECHNICZNE I ORGANIZACYJNE
    1. Przetwarzający wdraża i stosuje odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, jakie stanowi naruszenie praw lub wolności osób fizycznych, których dane osobowe będą przetwarzane na podstawie i w zakresie umowy.
    2. Przy ocenie, czy poziom bezpieczeństwa, o którym mowa powyżej, jest odpowiedni, Przetwarzający zobowiązany jest uwzględnić ryzyko związane z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia lub przypadkowej utraty, zmiany, nieuprawnionego ujawnienia lub jakiegokolwiek niezgodnego z prawem dostępu do przekazywanych, przechowywanych lub przetwarzanych danych osobowych.
    3. Przy wdrażaniu środków technicznych i organizacyjnych Przetwarzający:
      1. stosuje się do wytycznych Administratora w zakresie środków bezpieczeństwa przetwarzania danych osobowych zgodnie z obowiązującymi przepisami prawa;
      2. uwzględnia aktualną wiedzę techniczną, kontekst, charakter, zakres, cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, których dane osobowe będą przetwarzane na podstawie i w zakresie umowy.
    4. Na każde żądanie Administratora Przetwarzający zobowiązany jest udostępnić dokumentację (procedury, kodeks wewnętrzny) dotyczącą przetwarzania danych osobowych nie później niż 7 dni od złożenia żądania.
  5. PODPRZETWARZANIE
    1. Administrator wyraża zgodę na dalsze powierzenie przez Przetwarzającego przetwarzania danych osobowych innym podmiotom w zakresie i celu zgodnym z Umową Główną.
    2. Przetwarzający zapewnia, że będzie korzystał z usług świadczonych wyłącznie przez podmioty przetwarzające, które dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie spełniało wymogi RODO, jak również aktualne przepisy prawa dotyczące ochrony danych osobowych.
    3. Przetwarzający ponosi wobec Administratora pełną odpowiedzialność za dotrzymanie zobowiązań umownych wynikających z RODO zawartych pomiędzy Przetwarzającym a dalszym podmiotem przetwarzającym. Jeżeli podmiot dalej przetwarzający nie będzie wykonywał obowiązków dotyczących ochrony danych osobowych, Przetwarzający będzie ponosił odpowiedzialność wobec Administratora za nieprzestrzeganie zobowiązań umownych.
    4. Lista podprzetwarzających jest dostępna na stronie internetowej XOPERO.
    5. W przypadku wyboru przez Administratora świadczenia Usług wyłącznie przy użyciu infrastruktury w Europejskim Obszarze Gospodarczym, zastosowanie będą miały jedynie podmioty określone jako zlokalizowane na terenie UE dla danego Administratora.
    6. Przetwarzający jest uprawniony do zmiany listy podmiotów, o której mowa w ust. 4 powyżej, dokonując stosownej modyfikacji na stronie internetowej. Administrator ma prawo złożyć sprzeciw odnośnie każdej takiej zmiany w dowolnym czasie. Jeżeli jednak podmiot przetwarzający powiadomił Administratora o dokonywanej zmianie, to skuteczny sprzeciw może być złożony w terminie 7 dni od takiego powiadomienia.
  6. AUDYTY
    1. Administrator jest w każdym momencie upoważniony do przeprowadzenia audytu zgodności przetwarzania danych osobowych przez Przetwarzającego z niniejszym DPA i Umową Główną oraz obowiązującymi przepisami prawa; w szczególności Administrator może przeprowadzić weryfikację zgodności i adekwatności środków technicznych i organizacyjnych zabezpieczających przetwarzanie danych osobowych wdrożonych przez Przetwarzającego.
    2. Audyt w pierwszej kolejności wykonywany jest poprzez wystosowanie przez Administratora wezwania do Przetwarzającego do udzielenia niezbędnych wyjaśnień w terminie 7 dni. W przypadku braku udzielenia odpowiedzi w tym terminie przez Przetwarzającego, lub też odpowiedzi niepełnej, Administrator będzie uprawniony do przeprowadzenia bezpośredniego audytu bezpośredniego na zasadach określonych poniżej.
    3. Administrator poinformuje Przetwarzającego co najmniej 7 dni przed planowaną datą audytu o zamiarze jego przeprowadzenia. Jeżeli z ważnych powodów, w ocenie Przetwarzającego, audyt nie może zostać przeprowadzony we wskazanym terminie Przetwarzający powinien poinformować o tym fakcie Administratora drogą elektroniczną wskazując uzasadnienie dla takiej oceny. W takim przypadku Strony wspólnie ustalą późniejszy termin audytu.
    4. Audyt bezpośredni może być wykonywany przez Administratora lub podmioty zewnętrzne, którym Administrator zleci wykonanie audytu, w dni robocze w godzinach od 8:00 do 16:00.
    5. Przetwarzający ma obowiązek współpracować z osobami dokonującymi audytu, w szczególności zapewniać im dostęp do pomieszczeń i dokumentów obejmujących dane osobowe oraz informacje o sposobie przetwarzania danych osobowych, infrastruktury teleinformatycznej oraz systemów IT, a także do osób mających wiedzę na temat procesów przetwarzania danych osobowych realizowanych przez Przetwarzającego.
    6. Po przeprowadzonym audycie przedstawiciel Administratora sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Przetwarzający zobowiązuje się w terminie uzgodnionym z Administratorem dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.
    7. Koszty związane z przeprowadzeniem audytu ponosi Strona, która zleciła przeprowadzenie audytu, bez prawa do żądania zwrotu takich kosztów ani zapłaty dodatkowego wynagrodzenia.
  7. WYKRYWANIE NARUSZEŃ
    1. Przetwarzający zobowiązany jest do wdrożenia i przestrzegania procedur wykrywania naruszeń danych oraz wdrożenia odpowiednich środków zaradczych.
    2. Po zauważeniu naruszenia danych osobowych powierzonych Przetwarzającemu przez Administratora, Przetwarzający, bez zbędnej zwłoki i możliwie nie później niż w ciągu 48 godzin od wykrycia naruszenia, powiadamia Administratora o zaistniałej sytuacji.
    3. Przetwarzający, bez zbędnej zwłoki, podejmuje wszelkie uzasadnione działania w celu zminimalizowania i naprawienia negatywnych skutków naruszenia.
    4. Przetwarzający zobowiązany jest do udokumentowania każdego naruszenia powierzonych mu danych osobowych, w tym okoliczności naruszenia, jego skutków oraz działań naprawczych, które zostały podjęte.
  8. CZAS TRWANIA UMOWY I ZASADY ODPOWIEDZIALNOŚCI
    1. Umowa zostaje zawarta na czas określony i wygasa wraz z rozwiązaniem Umowy Głównej.
    2. W przypadku rozwiązania Umowy Głównej, niniejsze DPA wygasa wraz z nią.
    3. Administrator ma prawo wypowiedzieć niniejsze DPA ze skutkiem natychmiastowym z ważnych powodów, w tym z powodu naruszenia przez Przetwarzającego i dalszy podmiot przetwarzający przepisów RODO i innych bezwzględnie obowiązujących przepisów prawa lub postanowień DPA, w szczególności gdy:
      1. jakikolwiek Urząd Regulacyjny ds. przestrzegania zasad przetwarzania danych osobowych stwierdzi, że Przetwarzający lub dalszy podmiot przetwarzający narusza zasady przetwarzania danych osobowych;
      2. prawomocne orzeczenie sądu powszechnego wykaże, że Przetwarzający lub podmiot dalej przetwarzający nie przestrzega zasad przetwarzania danych osobowych.
    4. W przypadku naruszenia bezwzględnie obowiązujących przepisów prawa lub postanowień niniejszego DPA z przyczyn zawinionych leżących po stronie Przetwarzającego i skutkujących obowiązkiem zapłaty przez Administratora odszkodowania lub administracyjnej kary pieniężnej, Przetwarzający zobowiązany jest do zwrotu takich poniesionych wydatków.
  9. OGRANICZENIA ODPOWIEDZIALNOŚCI
    1. Jeżeli jakakolwiek część niniejszego DPA zostanie uznana za nieważną i niewykonalną, nie będzie to miało wpływu na ważność pozostałej części niniejszego DPA, która pozostanie ważna i wykonalna zgodnie z jej warunkami.
    2. Strony nie mogą przelać praw i obowiązków z niniejszego DPA, ani żadnej jego części, na żadną inną stronę. Wszelkie próby takiego działania są nieważne.
    3. Wszelkie zmiany w niniejszym DPA powinny być dokonywane w tej samej (lub wyższej) formie, pod rygorem nieważności.
❮     Wróć